Openvpn site to site
-
Ciao a tutti,
ho un problema facendo una vpn site to site tra 2 pfsense 2.0.1.
Questa sarebbe la situazione:
lan1 192.168.9.0 <–-> pfsense1 (client ovpn) <--> pfsense2 (server ovpn) <--> lan 2 192.168.8.0
Ho provato sia a fare tramite PSK sia tramite certificato.
Mi trovo nella situazione in cui dai firewall funziona correttamente e posso pingare o fare ssh sui server delle 2 reti, ma un computer da una delle 2 rete non vede e non pinga un computer dell'altra rete.E' un problema simile a quello che ho letto in un precedente post.
Vi giro l'attuale configurazione:
Pfsense server:
/var/etc/openvpn/server1.conf
dev ovpns1
dev-type tun
dev-node /dev/tun1
writepid /var/run/openvpn_server1.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local X.X.X.X
tls-server
ifconfig 10.0.8.1 10.0.8.2
tls-verify /var/etc/openvpn/server1.tls-verify.php
lport 1195
management /var/etc/openvpn/server1.sock unix
ca /var/etc/openvpn/server1.ca
cert /var/etc/openvpn/server1.cert
key /var/etc/openvpn/server1.key
dh /etc/dh-parameters.1024
comp-lzo
route 192.168.9.0 255.255.255.0
push "route 192.168.8.0 255.255.255.0"/var/etc/openvpn-csc/fw-target
iroute 192.168.9.0 255.255.255.0
Pfsense client:
/var/etc/openvpn/client2.conf
dev ovpnc2
dev-type tun
dev-node /dev/tun2
writepid /var/run/openvpn_client2.pid
#user nobody
#group nobody
script-security 3
daemon
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
proto udp
cipher AES-128-CBC
up /usr/local/sbin/ovpn-linkup
down /usr/local/sbin/ovpn-linkdown
local X.X:X.X
tls-client
client
lport 0
management /var/etc/openvpn/client2.sock unix
remote X.X.X.X 1195
ifconfig 10.0.8.2 10.0.8.1
route 192.168.8.0 255.255.255.0
ca /var/etc/openvpn/client2.ca
cert /var/etc/openvpn/client2.cert
key /var/etc/openvpn/client2.key
comp-lzoSe da un client della rete 192.168.9.0 faccio:
ping 192.168.8.10 ( a client in the other network)
Ed in pfsense catturo i pacchetti :
tcpdump -i ovpnc2
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ovpnc2, link-type NULL (BSD loopback), capture size 96 bytes
0 packets captured
0 packets received by filter
0 packets dropped by kernelVedo che non ci sono pacchetti che passano per il tunnel openvpn come se i pacchetti non venissere girati nel tunnel vpn.
Se controllo i pacchetti bloccati dal firewall:
tcpdump -i pflog0 icmp
tcpdump: WARNING: pflog0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on pflog0, link-type PFLOG (OpenBSD pflog file), capture size 96 bytes
0 packets capturedVedo che non ci sono pacchetti.
Le tabelle di routing sembrano corrette e le regole del firewall fanno passare tutto.Mi potete dare un suggerimento?
Grazie,
-
Usa la shared key per la site to site
Se usi il cert avrai questo problema
Ciao